BlueKeep een kwetsbaarheid in RDP. Tijd voor WannaCry 2.0?

Update – 4 juni 2019

Zojuist werd een video op twitter vrijgegeven waarin een exploit getoond wordt voor BlueKeep. Met deze exploit heeft de maker volledige controle over de kwetsbare machine.

Update – 31 mei 2019

Inmiddels zijn we een week verder en is de eerste proof of concept gepubliceerd waarbij een kwetsbaar systeem crasht. Bijgaande video laat zien hoe eenvoudig dit is voor een kwaadwillende.

24 mei 2019

0
Kwetsbare Systemen

31 mei 2019

207
Kwetsbare Systemen

7 juni 2019

207
Kwetsbare Systemen

27 mei 2019

Onlangs was het de verjaardag van WannaCry, de wereldwijde ransomware aanval die gebruik maakte van de kwetsbaarheid EternalBlue. Maar wat is er in twee jaar veranderd? Heeft dit incident ook daadwerkelijk verandering teweeggebracht?

Om deze vraag te beantwoorden hebben wij een onderzoek uitgevoerd. EternalBlue maakt gebruikt van een kwetsbaarheid binnen het protocol voor bestandsuitwisseling van Windows genaamd SMB. Met behulp van Shodan, een online-platform dat actief het aantal systemen op internet aangesloten indexeert, is het eenvoudig om te bepalen hoeveel systemen binnen Nederland dit specifieke protocol gebruiken.

 

Bijna 1% van de onderzochte systemen is kwetsbaar voor EternalBlue

Op dit moment zijn er volgens Shodan 22.387 systemen binnen Nederland die SMB open hebben staan richting het internet. Hierbij viel ons op dat de filtering binnen Shodan ons niet direct de juiste aantallen gaf. Daarom zijn we handmatig verder gaan filteren. Uiteindelijk kwamen we uit op 681 systemen die we nader hebben onderzocht. Hierbij hebben wij vastgesteld dat vijf systemen nog steeds kwetsbaar zijn.

Afgelopen “Patch Tuesday” bracht Microsoft een update uit die een kwetsbaarheid (BlueKeep) oplost omtrent remote toegang (RDP).

Patch voor Windows XP, Vista & Server 2003

https://support.microsoft.com/nl-nl/help/4500705/customer-guidance-for-cve-2019-0708

Patch voor Windows 7 en server 2008

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Meteen na de bekendmaking van de kwetsbaarheid werd er in de media veel aandacht besteed aan de vele systemen die RDP open hebben staan richting het internet. Maar ook over het gemak waarop deze systemen te vinden waren. In de meeste gevallen ontbrak echter enige nuance in de versie, configuratie en de daadwerkelijke kwetsbaarheid van deze systemen.

Meerdere individuele security onderzoekers en fabrikanten zijn inmiddels in staat om deze kwetsbaarheid (BlueKeep) te misbruiken en tonen dit aan met behulp van video’s. Gelukkig is de code voor het misbruiken van deze kwetsbaarheid nog niet gepubliceerd. Er wordt steeds meer gepubliceerd over de technische specificaties achter de kwetsbaarheid. Waardoor het een kwestie van tijd is voordat deze volledig uitgewerkt is tot een exploit.

Ondanks het ontbreken van publiekelijk beschikbare manieren om de kwetsbaarheid te misbruiken, zijn er inmiddels wel scanners beschikbaar die het mogelijk maken om te testen of een systeem kwetsbaar is.

 

10% van de onderzochte systemen is kwetsbaar voor BlueKeep!

Wij hebben een scan uitgevoerd op ruim 2000 systemen in Nederland die remote toegang accepteren vanaf het internet. Van deze systemen is bijna 10% kwetsbaar terwijl de patch al bijna 14 dagen beschikbaar is. Indien het installeren van deze patch nu niet mogelijk is voor uw organisatie schakel dan op zijn minst Network Level Authentication (NLA) in. De tijd begint te dringen. De kans is groot dat deze systemen zonder maatregelen slachtoffer worden van een cyberaanval.

Het advies blijft een open deur, update je systemen tijdig en wees terughoudend met wat je vanaf internet toegankelijk maakt. Eén systeem kan genoeg zijn om uw gehele infrastructuur over te nemen! De komende tijd blijven we deze systemen monitoren om te kijken wat de doorlooptijd is van bijwerken.

De eigenaren van deze systemen zijn door ons waar mogelijk op de hoogte gebracht.

Auteur:Security Team

Security Team Dutch Technology eXperts